2023API安全趨勢報告

API態(tài)勢分析分析析案例分享1011產(chǎn)管理11敏感信息監(jiān)測11缺陷識別11攻擊檢測1112APIAPI安全發(fā)展趨勢15API16API化16API為云應(yīng)用安全的重要組成17成為API安全的要素17防護建議防護建議18附錄21API集26應(yīng)用程序接口(ApplicationProgrammingInterface，API)是一API在應(yīng)用架構(gòu)上實現(xiàn)了軟件的模塊化、可重用、可擴展能力，已經(jīng)成為應(yīng)用系統(tǒng)中使用廣泛的核心支撐技術(shù)之一。APP、小程源為瑞數(shù)信息防護案例及第三方公開數(shù)據(jù)采樣，數(shù)據(jù)僅供參考。PIsPIsPIsPIs物聯(lián)網(wǎng)設(shè)備猛增PIs邊界不復(fù)存在PIs企業(yè)內(nèi)部訪問PIsPIsPIsPIs物聯(lián)網(wǎng)設(shè)備猛增PIs邊界不復(fù)存在PIs企業(yè)內(nèi)部訪問PIsAPIsPIsPIb到2024年，API濫用和相關(guān)數(shù)據(jù)泄露將幾乎翻倍”。中國信通院也在《應(yīng)用程序接口(API)數(shù)據(jù)安全研究I02030203API攻擊持續(xù)走高I4瑞數(shù)信息技術(shù)(上海)有限公司瑞數(shù)信息技術(shù)(上海)有限公司5APIAPI分析API和小程序逐漸成為了很多企業(yè)和組織的流量入口，針對傳統(tǒng)Web攻擊30%針對APl攻擊70%攻擊態(tài)勢沒有因此而停止，反而增多。01月2月3月4月5月6月 7月8月9月10月11月12月6瑞數(shù)信息技術(shù)(上海)有限公司77·接口分散和傳輸格式多樣性導(dǎo)致接口難以發(fā)現(xiàn)API式的多樣性(JSON、XML、GraphQL等)也增·業(yè)務(wù)緊耦合防護策略難以通用s·合法授權(quán)下的濫用風(fēng)險難以識別PIAPI瑞數(shù)信息技術(shù)(上海)有限公司傳統(tǒng)web漏洞允許弱口令短信接口濫用未鑒權(quán)接口誤暴露明文密碼傳輸參數(shù)可篡改越權(quán)訪問過度數(shù)據(jù)暴露參數(shù)可遍歷傳統(tǒng)web漏洞允許弱口令短信接口濫用未鑒權(quán)接口誤暴露明文密碼傳輸參數(shù)可篡改越權(quán)訪問過度數(shù)據(jù)暴露參數(shù)可遍歷其他9%交通3%醫(yī)療3%互聯(lián)網(wǎng)27%教育4%能源4%政府10%金融21%運金融21%API請求流量行業(yè)分布8瑞數(shù)信息技術(shù)(上海)有限公司找回密碼文件下載投票評價業(yè)務(wù)辦理短信個人信息查詢公開數(shù)據(jù)查詢登錄注冊傳統(tǒng)Web攻擊越權(quán)訪問信息遍歷參數(shù)篡改密碼破解亂序攻擊憑證盜用ssRF短信轟炸路徑探測找回密碼文件下載投票評價業(yè)務(wù)辦理短信個人信息查詢公開數(shù)據(jù)查詢登錄注冊傳統(tǒng)Web攻擊越權(quán)訪問信息遍歷參數(shù)篡改密碼破解亂序攻擊憑證盜用ssRF短信轟炸路徑探測瑞數(shù)信息技術(shù)(上海)有限公司9 10瑞數(shù)信息技術(shù)(上海)有限公司資產(chǎn)管理APIAPIAPIAPI。API資產(chǎn)敏感信息監(jiān)測息傳輸變得可見。缺陷識別瑞數(shù)信息技術(shù)(上海)有限公司11·資產(chǎn)管理 12瑞數(shù)信息技術(shù)(上海)有限公司·敏感數(shù)據(jù)傳輸監(jiān)測型包括身份證號、手機號、郵箱、銀行卡等信息。梳理出了存在明文傳輸敏感數(shù)據(jù)的業(yè)務(wù)系統(tǒng)、接口路徑、瑞數(shù)信息技術(shù)(上海)有限公司13·缺陷識別·攻擊檢測QLPI 14瑞數(shù)信息技術(shù)(上海)有限公司07自動化攻擊加劇API安全風(fēng)險07自動化攻擊加劇API安全風(fēng)險02API安全管理更加智能化03API安全成為云應(yīng)用安全的重要組成04合規(guī)要求成為API安全的要素API安全發(fā)展趨勢瑞數(shù)信息技術(shù)(上海)有限公司150707PIIAPI安全意識薄弱的從業(yè)人員，需要更加全面、智能的管理方式和管理策略。充分利無論是ToC還是ToB，會有越來越多的業(yè)務(wù)依靠API來辦理，越來越多的信息通過API來傳輸，因此，無論是內(nèi)部服務(wù)器之間的API數(shù)量，還是對外開放的API數(shù)量都會井噴式地增長。同時，伴隨人工智能技術(shù)的發(fā)展，自動化攻擊的門檻進一步降低，攻擊者可以利用機器學(xué)習(xí)算法快速生成自動化攻擊腳本，經(jīng)過簡單修改，即可發(fā)起攻擊行為，自動化工具可以短時間內(nèi)迅速掃描大量的API接口，利用接口返回信息分析判斷API是否存在缺陷，一旦發(fā)現(xiàn)可利用的缺陷便記錄下來并為下一步攻擊利用該缺陷做準(zhǔn)備；由于自動化攻擊腳本的便利性，通過一臺設(shè)備可以對多個目標(biāo)API發(fā)起大范圍的大量攻擊試探行為，從而獲得更多的攻擊信息；自動化工具在提升工作效率的同時，也加大了被惡意利用的可能，一旦自動化工具被濫用，類似DDoS攻擊和CC攻擊不可避免地夾雜在正常的用戶訪問中。加劇了API被攻擊的風(fēng)險。因此，未來企業(yè)在應(yīng)對業(yè)務(wù)形態(tài)變化的同時，亟需針對自動化攻擊的防御策略002 16瑞數(shù)信息技術(shù)(上海)有限公司APIAPI來的是導(dǎo)致傳統(tǒng)邊界安全防御策略的失效。針對云端API的安全防護思路、防御使用、加工、傳輸、提供、公開等各個環(huán)節(jié)進行數(shù)據(jù)安全風(fēng)險的監(jiān)測、評估和防護等，也需要用到權(quán)限管控、數(shù)據(jù)脫敏、數(shù)據(jù)加密、審計溯源等多種技術(shù)手段。數(shù)據(jù)隱私和安全法規(guī)的不斷嚴(yán)格，作為信息重要載體的API及其安全將會更加側(cè)重監(jiān)管和合規(guī)性要求。未來針對API安全細(xì)分領(lǐng)域的解決方案預(yù)計將更加貼00E00b瑞數(shù)信息技術(shù)(上海)有限公司17 18瑞數(shù)信息技術(shù)(上海)有限公司，瑞數(shù)信息技術(shù)(上海)有限公司192020瑞數(shù)信息技術(shù)(上海)有限公司OWASPAPISecurity·OWASPTOP10是什么OWASPTOP10是由OWASP發(fā)布的常見Web應(yīng)用程序安全風(fēng)險列表。該列表列出了當(dāng)前最普遍、最·OWASPAPISecurityTOP10是什么API的更新?！?019VS2023變化對比年的列表中看到了對傳統(tǒng)安全措施的挑戰(zhàn)，以及對新興技術(shù)如raphQLgRPCAPI因此對防御措施產(chǎn)生了更強烈的需術(shù)不斷演進和攻擊者利用策略的變化，API安全環(huán)境也在持續(xù)變化。這意味著開發(fā)者、企業(yè)和安全專業(yè)IAPI瑞數(shù)信息技術(shù)(上海)有限公司21·API1對象級別授權(quán)失效(無變化)問·API2認(rèn)證失效(更新)圍更廣和更全。API2:2019中用戶認(rèn)證失效指的是攻擊者可以利用弱密碼、會話固定等方式來繞過等?！PI3對象屬性級別授權(quán)失效(合并)·API4未受限制的資源消耗(更新)足夠的資源來滿足所有的請求，攻擊者可以利用這個漏洞發(fā)起拒絕服務(wù)(DoS)攻擊。而API4:2023·API5功能級別的授權(quán)失效(無變化)由此22瑞數(shù)信息技術(shù)(上海)有限公司·API6不受限訪問敏感業(yè)務(wù)(新增)API指的是敏感業(yè)務(wù)接口沒有做合理的訪問控制，導(dǎo)致攻擊者可以利用自動化工具或者腳本實現(xiàn)批量查詢或者敏感數(shù)據(jù)獲取，這個跟·API7服務(wù)器端請求偽造SSRF(新增)·API8錯誤的安全配置(排名下降)·API9存量資產(chǎn)管理不當(dāng)(更新)2019版API9資產(chǎn)管理不當(dāng)更新為2023版API9存量資產(chǎn)管理不當(dāng)。這兩個風(fēng)險都是跟資產(chǎn)管理I·API10API的不安全使用(新增)瑞數(shù)信息技術(shù)(上海)有限公司23API安全事件合集·推特2.35億用戶個人信息泄露Breached上被泄露，此次泄露的數(shù)據(jù)大約有寶馬、勞斯萊斯、保時捷等車企爆出API安全漏洞聯(lián)網(wǎng)(/web-hackers-vs-the-auto-黑客進行各種惡意活動，包括解鎖、啟動和跟·美國通信巨頭T-Mobile五年遭遇八起數(shù)據(jù)泄露在提交給美國證券交易委員會(SEC)的報告0賬戶號和賬戶訂閱條目數(shù)與套餐功能等信息。程序編程接口(API)未經(jīng)授權(quán)就獲取到了這些24瑞數(shù)信息技術(shù)(上海)有限公司潛在漏洞。MoneyLover是一款管理個人財務(wù)的工具應(yīng)用程序。它可以幫助用戶記錄和跟蹤他們的支出、收入、預(yù)算、賬單和債務(wù)等方面Trustwave研究員Troyr交易記錄等，并且還可能篡改或刪除用戶的數(shù)據(jù)，導(dǎo)致用戶Optus竊取9月22日，Optus公司證實公司系統(tǒng)美元(約155萬澳元)的贖金，否則每天都會公布一萬名客戶的詳細(xì)資料。據(jù)稱本次事件是因為向第三方公司開放的API接口存在安全漏I易機器人服務(wù)商3Commas用戶的API密鑰上瑞數(shù)信息技術(shù)(上海)有限公司25·LEGOMarketplace曝API漏洞，可進行賬號接管攻擊的樂高轉(zhuǎn)售平臺中發(fā)現(xiàn)了API安全漏洞，Salt對客戶賬戶進行大規(guī)模賬戶接管(ATO)攻擊，訪問平臺存儲的個人身份信息(PII)、用戶數(shù)據(jù)·ShopifyAPI密